了解如何調查資料外洩防護警示
本文將介紹警示調查流程,以及可用來調查 DLP 警示的工具。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
開始之前
如果您不熟悉 purview DLP Microsoft,以下是您在實作數據外泄防護實務時應該熟悉的核心文章清單:
- 管理單位
- 瞭解 Microsoft Purview 資料外洩防護:本文將介紹數據外泄防護專業領域和Microsoft的 DLP 實作。
- 規劃資料外洩防護 (DLP) :透過本文,您將:
- 數據外洩防護原則參考:本文介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為。
- 設計 DLP 原則:本文會逐步引導您建立原則意圖語句,並將它對應至特定的原則設定。
- 建立和部署數據外洩防護原則:呈現一些您對應至設定選項的常見原則意圖案例。 然後,它會逐步引導您設定這些選項,並提供部署原則的指引。
- 瞭解如何調查數據外洩防護警示:您正在閱讀的本文現在會介紹從建立到最終補救和原則微調的警示生命週期。 它也會向您介紹用來調查警示的工具。
DLP 警示的生命週期
所有警示和您與其互動都會經歷下列六個步驟:
觸發程序
Microsoft Purview 資料外洩防護 (DLP) 警示的生命週期會在符合原則中定義的條件時開始。 當原則相符時,會觸發原則中定義的動作,其中可能包括在原則設定為這麼做 時 產生警示。
DLP 原則通常會設定為在下列情況下監視並產生警示:
- 敏感性資訊,例如個人識別數據或智慧財產權,會從您的組織中外流。
- 敏感性資訊會不適當地與組織外部或內部的人員共用。
- 用戶參與有風險的活動,例如將敏感性資訊下載到抽取式媒體。
通知
產生警示時,會以事件和 DLP 警示管理儀錶板的方式傳送至 Microsoft Defender 入口網站。 DLP 原則可以設定為透過電子郵件傳送通知給使用者、系統管理員和其他項目關係人。
在通知階段Microsoft Purview:
- DLP 原則相符專案和使用者覆寫的報表。
- 您可以使用 [活動總管 ] 來檢視 DLP 相關活動,並針對報表產生目的進行篩選。
若要匯出活動數據以供報告使用 Export-ActivityExplorerData (ExchangePowerShell) |使用 O365 管理活動 API 或事件 API Microsoft檔。
注意事項
Microsoft Defender 入口網站會將事件保留六個月。 DLP 警示管理儀錶板會保留警示 30 天。
分級
在此步驟中,您會分析警示和任何相關聯的記錄,並決定警示為真肯定或誤判。 如果是真正的正面,您可以根據問題的嚴重性及其對組織的影響來設定警示的優先順序,並指派擁有者。 如果為誤判,您可以解除封鎖使用者並移至下一個警示。
Defender 入口網站會將 DLP 事件分組為事件。 事件是相關警示的集合,這些警示會根據 Defender 收到的所有其他訊號群組在一起。 例如,當您將 DLP 原則設定為監視和警示 SharePoint 網站上的敏感性檔案,且使用者從 SharePoint 網站下載檔案,然後將其上傳至個人 OneDrive,然後與外部用戶共享時,Defender 會將這些警示全部分組為單一事件。 這是功能強大的功能,可讓您先專注於最重要的警示。
在 Defender 入口網站中,您可以立即開始分級事件,並使用標籤、批註和其他功能來建構事件管理。 您應該利用 Microsoft Defender 入口網站中的 [事件] 頁面來管理 DLP 警示。 您可以選取 [ 篩選 ] 並選擇 [ 服務來源:數據外泄防護],以篩選事件佇列以檢視具有 Microsoft Purview DLP 警示的所有事件。
如果您已啟用使用 Microsoft Defender 全面偵測回應 (預覽) 共用內部風險管理資料 - 您會在 DLP 警示頁面中看到與使用者相關聯的測試人員風險管理原則的嚴重性層級。 測試人員風險管理嚴重性層級為: 低、 中、 高和 無。 您可以使用此資訊來排定調查和補救工作的優先順序。 在事件詳細數據中,Microsoft 365 Defender 入口網站中也會提供這項資訊。
調查
調查階段的主要目標是讓指派的擁有者相互關聯辨識項、判斷警示的原因和完整影響,並決定補救計劃。 指派的擁有者負責更深入調查和補救警示。 主要警示調查工具是 Microsoft Defender 入口網站和 DLP 警示管理儀錶板。 您也可以使用 活動總管 來調查警示。 您也可以與組織中的其他用戶 共用警示 。
您可以利用 DLP 功能,例如:
- 裝置上檔案活動的辨識項集合 可讓電子郵件和符合原則的檔等檔案更容易存取。
- 使用 內容總管 深入調查事件中的內容。
您可以使用 Microsoft Defender 入口網站和 Purview 工具來分級和調查警示,但 Microsoft Defender 入口網站提供更多管理警示和事件的功能,例如:
- 檢視您在事件佇列中根據事件分組的所有 DLP 警示 Microsoft Defender 全面偵測回應。
- 在單一事件下檢視智慧型手機解決方案 (DLP-MDE、DLP-MDO) 和解決方案內部 (DLP-DLP) 相互關聯的警示。
- 在 [進階搜捕] 下搜尋合規性記錄以及安全性。
- 在使用者、檔案和裝置上就地管理補救動作。
- 建立自定義標籤與 DLP 事件的關聯,並依事件進行篩選。
- 依整合事件佇列上的 DLP 原則名稱、標籤、日期、服務來源、事件狀態和使用者進行篩選。
如果您要 與 Defender (預覽) 共用測試人員風險管理數據 ,您可以看到使用者在過去 120 天內參與之所有外泄活動的用戶 活動摘要 。
修正
您的補救計劃對於貴組織的原則、產業、必須遵守的地緣政治法規,以及商務實務而言是唯一的。 貴組織選擇回應警示的方式,主要圍繞著警示的正確性 (真肯定、誤判、誤判) 、問題的嚴重性,以及對組織的影響。
補救動作可以包括:
- 僅監視,不需要採取任何進一步的動作。
- 不需要進一步的動作,因為原則採取的動作足以降低風險。
- 自動化原則動作可降低風險,但使用者教育是必要的。
- 此問題並未由原則完全緩解,因此需要進一步的清除和風險降低,以及更多用戶訓練。
- 透過 數據外洩防護中的自適性保護 (預覽) DLP 與測試人員風險管理整合的位置,您可以將風險層級指派給使用者,以進行進一步的監視和動作。
透過 Defender 入口網站,您可以立即對警示和事件採取補救動作。 例如:
- 重設密碼
- 停用帳戶
- 檢視用戶活動
- DLP 偵測的動作
- 拿掉檔案
- 套用敏感度標籤
- 取消共用
- 下載電子郵件
- 進階搜捕
- 隔離裝置
- 從裝置收集調查元件
- 執行防 V 掃描
- 隔離的檔案
- 停用使用者
- 重設 pwd
- 刪除電子郵件
- 將郵件移至其他信箱資料夾
- 下載檔
調整
根據原則的精確度和有效性,您可能需要加以更新,使其保持有效。 您已在 原則建立和部署程式期間調整原則,但隨著您的數據資產和業務需求變更,必須更新原則才能繼續生效。 這些變更最好在 原則意圖語句 和 原則組態中追蹤。
您微調的項目:
- 原則的範圍。
- 原則比對所需的條件。
- 發生原則比對時所採取的動作。
- 傳送給使用者和系統管理員的通知。
如需將商務需求對應至原則設計和測試原則的詳細資訊,請參閱:
工具組
您可以使用多種工具來調查和管理 Microsoft Purview 資料外洩防護 (DLP) 警示。 有:
- Microsoft Defender 入口網站
- Microsoft Purview 合規性入口網站 警示儀錶板
- 活動總管
- 內容總管
- Purview 內嵌體驗中的 Microsoft Security Copilot
- Purview 獨立體驗中的 Microsoft Security Copilot
Microsoft建議在 Microsoft Defender 入口網站中使用整合事件佇列來管理 DLP 警示。 不過,除了 Microsoft Defender 入口網站之外,您的組織可能還需要使用 DLP 警示管理儀錶板來滿足這些需求。
Microsoft Defender 入口網站
- DLP 警示會與其他事件和警示整合到單一事件佇列中,以提供更完整的事件圖片。
- 有六個月的事件歷程記錄可供使用。
- 進階搜捕可供使用。
- 使用 Microsoft Defender 全面偵測回應 來調查資料遺失事件 - 您可以在 Microsoft Defender 入口網站快速啟動時,從事件 & 警示>事件管理 DLP 事件以及安全性事件。
- 回應您在 Microsoft Defender 全面偵測回應 中的第一個事件
- 事件回應與 Microsoft Defender 全面偵測回應
- 在 Microsoft Defender 全面偵測回應 中排定事件的優先順序
- 在 Microsoft Defender 全面偵測回應 中管理事件
- 在 Microsoft Defender 全面偵測回應中調查事件
- 調查 Microsoft Defender 全面偵測回應 中的警示
- 在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅
Microsoft Purview 合規性入口網站
- 警示儀錶板、活動總管和內容總管全都可在 Microsoft Purview 合規性入口網站 中使用。 您可以使用調查 DLP 警示 Microsoft Security Copilot 摘要警示
- 您可以將警示狀態設定為 [調查]。
- 您可以與組織中的其他用戶 共用警示 。
- 此動作需要從 OneDrive 和 SharePoint 下載檔 (數據分類內容查看器角色)
如果您不熟悉使用 DLP 警示儀錶板,您應該閱讀這些文章以協助您開始使用。